ランサムウェア被害者の49%が攻撃を検知する前にデータを失っている

ランサムウェア被害者の49%が攻撃を検知する前にデータを失っている

ランサムウェアは常にやっかいな問題だが、新たなレポートは検知の失敗がいかに深刻かを明らかにしている。ランサムウェア被害者のほぼ半数が、攻撃者がネットワーク内に侵入したことに気づく前にデータを盗まれていたのだ。この数字は前年の31%から急増しており、攻撃者が大胆になっているだけでなく、はるかに忍耐強く、ステルス性を高めていることを示している。

現在、検知までの平均滞留時間は約2.5週間だ。これは17日間以上もの間、攻撃者が静かにシステムを調査し、最も価値のあるファイルを特定して外部へ持ち出す作業を、警報が一つも鳴らないまま進められることを意味する。

真の脅威は暗号化ではなく、データの持ち出しだ

多くの人はランサムウェアを劇的な出来事としてイメージしている。ファイルがロックされ、身代金要求のメモが表示され、業務が停止する。しかし、そのイメージはますます時代遅れになりつつある。現代のランサムウェアグループは二段構えの戦略へと移行している。まずデータを盗み出す。その上で、暗号化を実行する場合もあれば、しない場合もあるが、被害者に対して二つの別々の脅迫を突きつける。アクセスを復旧するために金を払え、そして、盗んだデータを公開されたくなければもう一度払え、というものだ。

しばしば二重脅迫と呼ばれるこの手口は、状況を完全に変えてしまう。たとえ暗号化されたファイルを迅速に復旧できる堅牢なバックアップシステムを持つ組織であっても、機密性の高い顧客記録、財務文書、知的財産の露出というリスクに直面する。もはや暗号化は、ほぼ二次的なものになりつつある。

前年比で半数以上のケースにわたり、データ窃取が一貫して脅迫活動の特徴であり続けているという事実は、これが一時的な流行ではないことを裏付けている。今やこれが標準的な手口なのだ。

検知がさらに後れを取る理由

侵入から検知までのギャップが広がっている背景には、いくつかの問題が重なっている。

第一に、攻撃者はますます、標的環境にすでに存在する正規のツールを使っている。セキュリティソフトウェアは未知のマルウェアのシグネチャを検出するように設計されているが、攻撃者がシステムに組み込まれたユーティリティを使ってファイルを移動させる場合、それらの動作は通常の管理者の行動と区別がつかないことが多い。

第二に、多くの組織がいまだに境界防御に大きく依存している。ファイアウォールや暗号化トンネルは転送中のデータを保護するが、攻撃者が有効な認証情報を手に入れたり、ネットワーク内部に足場を築いた後では、境界ツールはラテラル（水平方向）の動きをほとんど可視化できない。

第三に、アラート疲れは、セキュリティオペレーションセンターにおける現実的かつ十分に立証された問題だ。検知システムが毎日何千もの精度の低いアラートを生成すると、真の侵入シグナルは埋もれてしまう。攻撃者はこのことを熟知しており、ノイズの多い時間帯に紛れるように活動のタイミングを計る。

これこそが、VPNを含む単一のツールに頼ることが誤った安心感を生む理由でもある。VPNはデバイスとインターネット間のトラフィックを暗号化し、転送中のデータを保護し、IPアドレスを隠す。しかし、すでに侵害されたマシン上で実行されているマルウェアを検知・ブロックすることは全くできず、認証情報が窃取された後の攻撃者の振る舞いを可視化することもできない。オーストラリアのフィンテック企業で攻撃者が機密性の高い個人情報にアクセスしたyouXのデータ侵害事件は、高度な侵入がいかに表面的な防御をすり抜け、現実世界に連鎖的な被害をもたらすかを如実に示している。

あなたにとってこれは何を意味するか

個人の専門家であれ、組織のITチームの一員であれ、平均2.5週間の滞留時間は、セキュリティに対する考え方を根本的に変えるべき理由となる。

問われるべきは、もはや「どうやって攻撃者を締め出すか」だけではない。同様に重要なのは、「誰かがすでに内部に侵入していた場合、どれだけ早く気づけるか、そして、攻撃者は何を見つけ出すか」である。

個人や小規模事業者にとって、これは次のことを意味する。

• 認証情報は侵害されるものと想定する。 特にメール、クラウドストレージ、リモートアクセスツール全てで多要素認証を使うこと。窃取された認証情報は最も一般的な侵入口だ。
• アクセス可能な範囲を制限する。 すべてのシステムやファイル共有が、すべてのデバイスから到達可能である必要はない。アクセスを制限することで、初期侵入後に攻撃者が手を伸ばせる範囲を狭めることができる。
• 既知の脅威だけでなく、異常を監視する。 あるユーザーアカウントが普段触れることのないファイルに突然アクセスするなど、異常な振る舞いを検出するエンドポイント検知ツールは、シグネチャベースのアンチウイルス単体よりも価値がある。
• インシデント対応計画を持つ。 侵害が確認された最初の1時間に取るべき手順を正確に把握しておくことで、被害は大幅に制限される。多くの組織は、差し迫った必要性に迫られるまで、文書化されたプロセスが存在しないことに気づいていない。
• バックアップを分離する。 本番系と同じネットワークに保存されたバックアップは、攻撃者の滞留期間中に暗号化されたり削除されたりする可能性がある。オフラインまたはイミュータブル（変更不可）なバックアップは、それ自体が別の防御層となる。

VPNは、特に信頼できないネットワークでのトラフィックを保護し、受動的な監視からプライバシーを守るために、依然として真に有用なツールであり続けている。しかしその役割は、完全な防御策ではなく、数ある層の中の一つに過ぎない。

多層防御戦略の構築

最も効果的なセキュリティ態勢とは、検知を予防と同等の優先事項として扱うことである。予防は決して完璧にはならず、攻撃者はそれを回避するのがますます巧くなっていることがデータで確認されている。攻撃者を締め出すことにのみ投資し、内部に入った後の検知を何も行わない組織や個人は、最も重要な猶予期間中、事実上盲目である。

多層防御とは、境界ツール、エンドポイント監視、ネットワークトラフィック分析、厳格なアクセス制御、ユーザー教育を組み合わせることを意味する。どれか一つの製品ですべてのギャップを埋められるわけではない。だからこそ、セキュリティ業界は特効薬ではなく、「多層防御（ディフェンス・イン・デプス）」を唱えるのだ。

検知前のデータ窃取の急増は、脅威環境が成熟したことを示す明確なシグナルだ。攻撃者はかつてないほど規律と忍耐をもって行動している。これに対する適切な対応は、事件が起きてから事後的にツールを購入するのではなく、同じくらい意図的で多層的な防御によって、その規律に匹敵することである。

まずは、どのような機密データを保持し、それがどこにあり、誰がアクセスできるのかを調査することから始めよう。そうした可視性に取り組むだけでも、あなたは大多数の標的よりも一歩先を行くことになる。